LDAP构建统一认证服务

LDAP的基本概念  LDAP主要用来解决统一认证的问题,比如我们经常使用的nextcloud、proxmox、Linux主机等,均支持配置LDAP。通过部署L

各位老铁们,大家好,今天由我来为大家分享LDAP构建统一认证服务,以及的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!

英文名

中文名

评论

DN

杰出的名字

尊贵的名字

表示条目在目录树中从根开始的绝对路径,是条目的唯一标识符。

直流

域名

域名

组织单位

组织单位

最多可以有四级,每级最多32个字符,并且可以是中文

CN

通用名

用户名

LDAP的构建和使用

1. 安装ldap服务端及工具集

slapd是服务器程序,ldap-utils是工具集(ladpmodify、ldapadd等)

apt 安装slapd ldap-utils

2. 重设密码和DN等信息

dpkg-重新配置slapd

3. 配置支持memberOf模块

由于有些应用需要memberOf支持,所以我们需要在开头添加这个模块,以便后面使用的时候可以直接使用。本节包含参考链接。

首先,您需要创建三个新文件。您可以创建一个新目录,即memberof_config.ldif、refint1.ldif 和refint2.ldif。特别注意的是,在执行此操作之前,您需要获取几个参数。

查询ldap配置db文件。 ldapsearch -Q -LLL -Y 外部-H ldapi:///-b cn=config dn | grep db 查询ldap 模块路径。查找/usr/-name ldap

新建memberof_config.ldif,注意将olcDatabase和olcModulePath修改为上面查询的结果。

LDAP构建统一认证服务

# vim memberof_config.ldifdn: cn=module,cn=configcn: moduleobjectClass: olcModuleListolcModuleLoad: memberofolcModulePath: /usr/lib/ldapdn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=configobjectClass333 60 olcConfigobjectClass3336 0 olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling:ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfNamesolcMemberOfMemberAD: memberolcMemberOfMemberOfAD : memberOfnew refint1 .ldif。

# vim refint1.ldifdn: cn=module{1},cn=configadd: olcmoduleloadolcmoduleload: refint 创建refint2.ldif。您还需要注意修改olcDatabase 以匹配上述查询的db 结果。

# vim refint2.ldifdn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: {1}refintolcRefintAttribute: memberof member manager Owner 运行以下命令来配置模块成员。

ldapadd -Q -Y EXTERNAL -H ldapi:///-f memberof_config.ldif 运行以下命令加载并配置refint 模块。

ldapmodify -Q -Y EXTERNAL -H ldapi:///-f refint1.ldifldapadd -Q -Y EXTERNAL -H ldapi:///-f refint2.ldif

4. 测试模块是否添加成功(生产环境不需要执行)

首先添加两个节点来存储用户和用户组。创建一个新的配置文件add_nodes.ldif。注意将dn的值修改为你自己的。

# vim add_nodes.ldifdn: ou=people,dc=zhushurui,dc=cnobjectClass:organizationalUnitou: Peopledn: ou=groups,dc=zhushurui,dc=cnobjectClass:organizationalUnitou:Groups执行以下命令使配置生效。注意dc被修改,输入密码后执行成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_nodes.ldif 添加用户,首先设置用户密码。

slappasswd -h {SHA} -s my_secret_password 结果如下:

{SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=新建配置文件add_user.ldif如下,添加用户,特别注意修改你的dn。

# vim add_user.ldifdn: uid=john,ou=people,dc=zhushurui,dc=cncn: John DoegivenName: Johnsn: Doeuid: johnuidNumber: 5000gidNumber: 10000homeDirectory: /home/johnmail3336 john.doe @example.comobjectClass: topobjectClass: posixAccountobjectClass: ShadowAccountobjectClass: inetOrgPersonobjectClass:organizationalPersonobjectClass: personloginShell: /bin/bashuserPassword: { SHA }M6XDJwA47cNw9gm5kXV1uTQuMoY=执行以下命令添加用户。您需要将dc和cn修改为您的管理员帐户。默认情况下,你只需要修改dc,然后输入你的管理员密码即可。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_user.ldif新建一个配置文件add_group.ldif,添加用户组,特别注意修改你的dn和member。

# vim add_group.ldifdn: cn=mygroup,ou=groups,dc=zhushurui,dc=cnobjectClass: groupofnamescn: mygroupdescription: All usersmember: uid=john,ou=people,dc=zhushurui,dc=cn执行以下命令添加用户组,这也需要待修改。 dc 和cn。输入密码后,添加成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_group.ldif 接下来查询用户是否配置了memberof模块。

ldapsearch -x -LLL -H ldap:///-b uid=john,ou=people,dc=zhushurui,dc=cn dn memberof

5. 安装phpldapadmin

phpldapadmin 可用于管理ldap。执行以下命令安装软件。

此时访问http://ip/phpldapadmin/即可访问apt install phpldapadmin。我们需要修改配置文件。

vim /etc/phpldapadmin/config.php 注意以下设置。第一句表示不会允许匿名用户登录,第二句只会允许管理员登录,第三句会修改登录页面默认填写的用户名,第四句会让phpldapadmin识别默认dn。

$servers-setValue(‘login’,’anon_bind’,false);$servers-setValue(‘login’,’allowed_dns’,array(‘cn=admin,dc=zhushurui,dc=cn’));$servers- setValue(‘login’,’bind_id’,’cn=admin,dc=zhushurui,dc=cn’);$servers-setValue(‘服务器’,’base’,array(‘dc=zhushurui,dc=cn’) );

6. 使用phpldapadmin新增用户和用户组

7. 安装和使用ldap-account-management(可选)

尝试后不建议使用。好像存在字段不全等问题。执行以下命令进行安装。

apt install ldap-account-manager 访问http://ip/lam 登录系统。然后按照下面的动画完成初始配置。初始化密码为lam。

配置服务器设置。

配置帐户。

——珀西·C 撰写

2021 年12 月14 日

用户评论

LDAP构建统一认证服务
搞搞嗎妹妹

看完这篇文章感觉真是太棒了!一直想学习搭建 LDAP 认证,现在终于有了清晰的方向!你讲得真的清晰易懂,关键点都交代清楚了,比网上其他教程更容易理解。

    有18位网友表示赞同!

LDAP构建统一认证服务
稳妥

LDAP 搭建统一认证确实很不错啊,能让企业管理用户身份更加规范和安全。 我之前的公司也是用 LDAP 管理的,感觉挺方便的,可以集中管理用户信息,权限控制也更灵活!不过搭建的过程还是相对比较复杂的吧?

    有7位网友表示赞同!

LDAP构建统一认证服务
伤离别

LDAP 真是神器啊! 我们公司项目需要统一认证,搭建 LDAP 能彻底解决用户账号共享、安全验证等难题。这篇文章讲得很好,就是配置部分稍微有些细节没提到啊。

    有11位网友表示赞同!

LDAP构建统一认证服务
无所谓

说句实话,这类型的文章我实在是浏览不下去!太多专业的术语了,我不太懂。能不能用更通俗易懂的语言解释一下?

    有19位网友表示赞同!

LDAP构建统一认证服务
桃洛憬

LDAP 听起来很复杂的样子,我感觉这种技术还是需要专业的人士来操作吧?普通人想了解一下,还蛮难啃的。 这篇文章写的比较干货了,但也比较深奥…

    有19位网友表示赞同!

LDAP构建统一认证服务
浅嫣婉语

LDAP 搭建挺麻烦的,我的公司最近正好在考虑这个问题,这篇文章给了我很大的帮助!特别是部署的过程详细讲解,可以帮我们参考配置环境。

    有8位网友表示赞同!

LDAP构建统一认证服务
怪咖

我之前一直是使用微信公众号进行身份认证的,但随着业务发展,这种方式已经够不着了。听说 LDAP 可以支持更多第三方应用,或许这才是真正意义上的统一认证机制?

    有12位网友表示赞同!

LDAP构建统一认证服务
别在我面前犯贱

LDAP 的好处我知道不少,比如安全性高、可管理性强等。但是现实中很多公司又会遇到各种各样的挑战,比如成本、操作复杂度,这也让人有点犹豫…

    有6位网友表示赞同!

LDAP构建统一认证服务
米兰

文章写的不错,把 LDAP 的优点和局限性都阐述的清晰。不过我更想了解一下,在实际项目中,如何选择合适的 LDAP 方案?哪个产品更加成熟可靠呢?

    有15位网友表示赞同!

LDAP构建统一认证服务
病态的妖孽

我一直都是对这种技术一知半解的状态,看了你的文章才稍微有点了解了。希望以后能多分享一些简单易懂的内容,让我这个小白也能慢慢学习!

    有13位网友表示赞同!

LDAP构建统一认证服务
灬一抹丶苍白

LDAP 用在哪 kind of scenario ? 我想听听你举例说明一下! 比如说哪些行业的公司特别需要 LDAP 的?

    有11位网友表示赞同!

LDAP构建统一认证服务
凝残月

这篇文章内容真不错!让我对 LDAP 有了一个更清晰的认识。之前总是感觉 LDAP 很神秘,现在看来,它其实就是一种高效、安全的身份验证系统!

    有19位网友表示赞同!

LDAP构建统一认证服务
汐颜兮梦ヘ

搭建LDAP 我以前也尝试过,不过最终因为各种原因放弃了。 看来还是自己技术能力不足啊… 这篇文章给了我很大的借鉴意义, 以后有机会再尝试一次!

    有18位网友表示赞同!

LDAP构建统一认证服务
顶个蘑菇闯天下i

统一认证服务确实很重要, LDAP 可以帮助企业实现更加集中化管理。但是如果公司规模不是特别大,是不是用更简单的身份认证方式就足够了? 例如: OAuth 或 SAML ?

    有18位网友表示赞同!

LDAP构建统一认证服务
孤廖

LDAP 的安全性还是非常高的,能够有效防止恶意攻击。不过,同时还需要注意其他方面的安全措施,比如定期更新软件漏洞,加强用户教育等。

    有10位网友表示赞同!

LDAP构建统一认证服务
有一种中毒叫上瘾成咆哮i

LDAP 作为一种成熟的认证协议,确实值得我们认真学习和使用。 这篇文章写的很全面,对初学者来说帮助很大!

    有15位网友表示赞同!

LDAP构建统一认证服务
权诈

搭建 LDAP 系统需要一定的技术水平, 如果企业没有专门的人员负责维护,可能会带来一些麻烦。 比如:系统故障、数据备份等问题。

    有18位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/199007.html

(0)
小su's avatar小su
上一篇 2024年9月26日 上午1:20
下一篇 2024年9月26日 上午1:32

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注